Aby zrozumieć dzisiejsze wyzwania, powinniśmy cofnąć się do początków pandemii COVID-19. Wówczas groźny wirus zmusił miliony pracowników do pracy zdalnej, a firmy do przyspieszenia cyfryzacji, aby zapewnić ciągłość działania. Gdy przedsiębiorstwa przekonały się do nowych technologii, rozpoczął się nowy etap informatyzacji. Wdrażanie systemów IT przestało być wyborem, a stało się koniecznością — już nawet nie warunkiem utrzymania konkurencyjności, ale przetrwania na rynku. Jednak czy nasze umiejętności przenoszenia procesów biznesowych do cyberprzestrzeni rozwijają się równolegle ze zdolnościami do zapobiegania cyberatakom?
— Badania wyraźnie wskazują, że bezpieczeństwo IT to sfera, w której polskie przedsiębiorstwa muszą znacząco przyspieszyć swoje działania. Powrót do ery analogowej jest już nie do pomyślenia, a to zarówno z powodu dynamicznych zmian na rynku, jak i rosnących wymagań Unii Europejskiej. To zaś oznacza pilną potrzebę wzmacniania cyberodporności biznesu i całej gospodarki — przekonuje Paweł Stapf, szef biura projektów międzynarodowych w ABB.
Opóźnione skutki pandemii
Rzeczywiście, UE stawia na cyfryzację, określając ambitne cele do zrealizowania do 2030 r. Najświeższy raport „State of Digital Decade 2024” ukazuje, że choć Polska czyni na tym polu duże postępy, ciągle jeszcze daleko nam do założeń przyjętych na koniec dekady. Obecnie niespełna 52 proc. krajowych firm korzysta z zaawansowanych technologii takich jak sztuczna inteligencja czy analityka dużych zbiorów danych. Tymczasem według Brukseli za sześć lat ten wskaźnik powinien wynosić aż 75 proc.
Cyfryzację biznesu znacząco może przyspieszyć wdrożenie chmury obliczeniowej (cloud computing), która nie tylko obniża koszty związane z infrastrukturą IT i jej utrzymaniem, ale również oferuje zwiększoną elastyczność oraz skalowalność zasobów informatycznych. Jest jednak ryzyko, ponieważ udany atak na systemy cloudowe może spowodować bardzo poważne szkody.
Tylko tyle polskich firm korzysta z zaawansowanych technologii takich jak sztuczna inteligencja
czy analityka dużych zbiorów danych – wynika z raportu „State of Digital Decade 2024”.
— Zobowiązania wynikające z użytkowania środowisk chmurowych obejmują kwestie bezpieczeństwa, których istotność zwiększyła się wraz z pojawieniem się nowych cyberzagrożeń bazujących na sztucznej inteligencji. Niezbędne stało się więc wdrażanie ulepszonych środków ochrony — akcentuje Jolanta Malak, dyrektor Fortinet w Polsce.
Innymi słowy, nieubłaganie ubywa czasu na spełnienie unijnych wymagań dotyczących transformacji cyfrowej, przy czym jest to dopiero początek drogi. Za równie ważne uznaje się nadgonienie zaległości dotyczących cyberbezpieczeństwa, a te naprawdę są ogromne. Dowód? Tylko co piąty menedżer ds. cyfrowego bezpieczeństwa uważa, że jego organizacja podejmuje odpowiednie kroki, aby skutecznie przeciwstawiać się zagrożeniom w cyberprzestrzeni — wynika z międzynarodowego badania EY. Byłoby naiwnością przypuszczać, że sytuacja w polskich przedsiębiorstwach jest bardziej optymistyczna. Co zatem sprawia, że przeważająca część biznesu traktuje cyberbezpieczeństwo po macoszemu?
— Wróćmy pamięcią do początków pandemii, kiedy nasze domy masowo przeistaczały się w biura. Przedsiębiorstwa wyposażyły nas w rozwiązania IT, które stworzono z myślą o pracy stacjonarnej, zapewniając, że jest to tymczasowe rozwiązanie. Stopniowo miały się pojawiać lepiej zabezpieczone urządzenia i programy. Skoro jednak wszystko na ogół działało sprawnie, plany uszczelniania środowiska informatycznego i mobilnego z czasem zostały zarzucone. Po raz kolejny okazało się, że nie ma nic trwalszego niż prowizorki — wyjaśnia Paweł Stapf.
Innym źródłem zaniedbań jest iluzja bezpieczeństwa. Szczególnie przedstawiciele sektora MŚP mają złudne poczucie, że ich firmy są za małe, by przyciągać uwagę cyberprzestępców, co prowadzi do lekceważenia inwestycji w zaawansowane systemy ochronne, czyniąc je bardziej podatnymi na ataki.
— Małe firmy są często częścią większego łańcucha dostaw i atak na nie może być wstępem do ataku na większe organizacje, które z nimi współpracują — uświadamia menedżer z ABB.
Wszystko pięknie, ale czy kilkunastoosobowy zakład stolarski może sobie pozwolić na zabezpieczenia, które są standardem dla dużych koncernów handlowych czy produkcyjnych? Odpowiedź leży w outsourcingu. Nie ma potrzeby zatrudniania drogiego eksperta na pełen etat. Wystarczy kupić usługę z odpowiednio wysokim SLA (service level agreement), by stwierdzić, że całe wyzwanie związane z bezpieczeństwem IT staje się przystępne cenowo.
— Inwestycje w technologie także nie muszą być ogromne, podobnie jak nakłady na personel odpowiedzialny za cyberbezpieczeństwo. Współpraca z zewnętrznym partnerem może kosztować 5 tys. zł, co jest porównywalne z ceną dobrego laptopa — uspokaja Paweł Stapf.
Polski rynek finansowy bardzo dobrze poradził sobie z procesem cyfryzacji usług i w wielu obszarach jest światowym liderem. We współczesnym świecie proces zmiany zachodzi jednak nieustannie, dlatego zawsze warto rozmawiać o nowych trendach, rozwiązaniach, usługach, które mogą przyspieszać cyfrowy rozwój gospodarki i społeczeństwa.
Ponad 2,5 tys. lat temu Platon przedstawił koncepcję, która w dobie internetu stała się rzeczywistością: możliwość popełniania zła bez ponoszenia konsekwencji. Grecki filozof opisał magiczny przedmiot – pierścień Gygesa, który czynił noszącego go niewidzialnym. Tym, którzy widzieli moralność jako kwestię uniknięcia złapania, pierścień usuwał wszelkie przeszkody, w tym odpowiedzialność za przestępstwa. W dzisiejszym świecie cyfrowym możemy przetestować tę platońską ideę. Cyberprzestępcy korzystają z zaawansowanych technologii, aby pozostać nieuchwytnymi, a ich działania ułatwia niechęć ofiar do zgłaszania incydentów organom ścigania. Ale zacznijmy od czegoś optymistycznego.
Wpadł szef międzynarodowej grupy przestępczej, która specjalizowała się w oszustwach phishingowych. Przestępcy, korzystając z portali ogłoszeniowych, wysyłali do sprzedających wiadomości zawierające linki prowadzące do fałszywych stron płatności lub przewoźników. Tak pozyskiwali dane z kart kredytowych, które następnie wykorzystywali do kradzieży, okradając 320 osób na 1 mln zł. Lider e-gangu usłyszał aż 328 zarzutów obejmujących włamania do kont bankowych, oszustwa komputerowe oraz pranie pieniędzy. To jeden z tegorocznych sukcesów Centralnego Biura Zwalczania Cyberprzestępczości.
W ubiegłym roku CBZC prowadziło w sumie 617 postępowań, z czego połowę nowych. Zarzuty zostały postawione 681 osobom. Jednak osiągnięcia tej stosunkowo nowej jednostki policji, ustanowionej w 2022 r., nie są jeszcze imponujące. Spośród 299 zakończonych w 2023 r. postępowań mniej niż połowa
zakończyła się wyrokiem sądowym.
Możliwe, że wyniki pracy biura byłyby bardziej znaczące, gdyby firmy zawsze i na czas zgłaszały incydenty. Często jednak powstrzymują je obawy o reputację, koszty, brak świadomości lub niedostatek zasobów. Takie opóźnienia czy zaniechania mogą prowadzić do kolejnych ataków cybernetycznych i utrudniać organom ścigania walkę z cyberprzestępczością. Dodatkowo warto przypomnieć, że zgodnie z RODO firmy są zobowiązane do zgłaszania naruszeń ochrony danych w ciągu 72 godzin od ich wykrycia.
Zawodny jak człowiek
Choć nawet znakomite technologie i procedury mogą zawodzić, najsłabszym ogniwem w łańcuchu cyberbezpieczeństwa pozostaje człowiek — nie dość, że często brakuje mu wiedzy na temat zagrożeń, to jeszcze bywa przemęczony, zestresowany i pozbawiony odpowiedniego nadzoru. Konsekwencje? Według badania przeprowadzonego przez ESET i DAGMA jedna piąta Polaków doświadczyła cyberataku w miejscu pracy, a co trzeci zna kogoś, kto był ofiarą takiego ataku. Najczęściej popełniane błędy to odpowiadanie na mejle od nieznanych nadawców (47 proc.), odbieranie telefonów z nieznanych numerów (41 proc.) oraz ignorowanie ostrzeżeń programów antywirusowych (32 proc.). Co trzeci ankietowany zetknął się w swojej karierze z sytuacją, gdzie incydent cybernetyczny miał poważny wpływ na reputację i wyniki finansowe firmy.
Nic dziwnego, że dyskusje na temat konieczności szkoleń z cyberbezpieczeństwa są tak popularne. Jakub Bojanowski, autor książki „Zdążyć przed hakerem”, podkreśla, że to celna obserwacja, jednocześnie wyraża żal, że zbyt mało uwagi poświęca się detalom, jak należy organizować takie kursy dla pracowników. Sugeruje, aby ich poziom dostosować do kompetencji cyfrowych zatrudnionych, wskazując na dwie główne kategorie: technologicznych agnostyków, którzy podchodzą do IT z rezerwą, oraz tych, którzy swobodnie nawigują w świecie cyberinnowacji — potrafiąc np. skonfigurować pocztę, obsługiwać programy biurowe czy uzyskiwać dostęp do sieciowych zasobów na urządzeniach mobilnych. Wdrażanie identycznego programu szkoleniowego dla obu grup skutkuje znikomą efektywnością.
Problem leży nie tyle w braku umiejętności, ile w mentalności, która jest zakorzeniona w analogowym myśleniu — to opinia Natalii Zajic, konsultantki ds. cyberbezpieczeństwa z firmy Safesqr specjalizującej się w doradztwie oraz dostarczaniu rozwiązań zwiększających odporność na cyberataki.
— Przybywa osób, które mają wiedzę na temat zagrożeń online, a mimo to ciągle widzimy nawyki świadczące o niefrasobliwości użytkowników. Zwłaszcza reprezentanci młodego pokolenia, choć są pewni swoich kompetencji cyfrowych, często ignorują podstawowe zasady bezpieczeństwa. Dlatego edukacja powinna koncentrować się nie tylko na teorii, ale przede wszystkim na wprowadzaniu dobrych praktyk, takich jak tworzenie silnych, unikalnych haseł oraz regularne stosowanie uwierzytelniania wieloskładnikowego — podkreśla Natalia Zajic.
Jakub Bojanowski jest podobnego zdania: „Dobre szkolenie powinno mieć wymiar praktyczny, wyjaśniać, w jaki sposób zasady obowiązujące w danej instytucji odnoszą się do pracowników, tłumaczyć potrzebę ochrony informacji, a także dawać praktyczne wskazówki co do postępowania w konkretnych sytuacjach”.
— Niezależnie od naszych starań w dziedzinie edukacji, wdrażania technologii i ustanawiania procedur nie możemy liczyć na to, że z czasem będziemy mniej zaniepokojeni o cyberbezpieczeństwo naszych firm. Cyberprzestępcy nieustannie się rozwijają, co oznacza, że nigdy nie będziemy mogli sobie pozwolić na chwilę wytchnienia w kwestii ochrony cyfrowej. Stoimy przed perspektywą niekończącego się wyścigu — zaznacza Paweł Stapf.
Cyberprzestępcy coraz bardziej polegają na sztucznej inteligencji, by zintensyfikować swoje ataki, uczynić je bardziej skuteczne i trudniejsze do wykrycia. AI pozwala na tworzenie tak realistycznych wiadomości phishingowych, że nawet najbardziej czujny pracownik może dać się zwieść. Kiedyś w fałszywych mejlach roiło się od błędów, które były znakiem ostrzegawczym. Dziś, za sprawą zaawansowanych modeli językowych, te komunikaty są niemal bezbłędne, a ich styl idealnie naśladuje autentyczną korespondencję.
W grze przestępców pojawiają się też nowsze, bardziej wyrafinowane techniki, takie jak deepfake. Sztuczna inteligencja umożliwia tworzenie przekonujących filmów, zdjęć, a nawet naśladowanie głosu bliskiej osoby, co może prowadzić do oszustw na niewyobrażalną skalę. Wystarczy, że oszuści
zdobędą próbkę naszego głosu z internetu, by AI mogła go perfekcyjnie podrobić.
Z drugiej strony AI coraz częściej wspiera cyberbezpieczeństwo poprzez analizę anomalii, wykrywanie phishingu, automatyzację reakcji na incydenty, przetwarzanie big data, identyfikację ataków DDoS, prognozowanie zagrożeń, automatyzację testów bezpieczeństwa oraz analizę podatności. Dzięki sztucznej inteligencji możliwe jest szybkie i efektywne reagowanie na cyberzagrożenia oraz adaptacja do nowych metod ataków.
Pandemia Covid-19 przyspieszyła wprowadzenie zdalnego i hybrydowego modelu pracy. Sztuczna inteligencja z kolei wymusza zmiany w wykonywaniu pracy praktycznie na każdym stanowisku. Stawia to duże wyzwania przed działami HR, ponieważ my w Polsce nadal bazujemy na Kodeksie pracy, który został uchwalony w 1974 roku. Zasadne i otwarte pozostaje pytanie – czy to już czas na zupełnie nowy kodeks?
Coś jest chyba na rzeczy. Systemy IT, które wspierają nas w codziennych zadaniach i zarządzaniu przedsiębiorstwami, są tak zaawansowane, że większość menedżerów i pracowników nie zdoła zrozumieć ich złożoności. Jak już w 1998 r. zauważył George Tenet, ówczesny dyrektor CIA: „Nasza przyszłość opiera się na zasobach, których jeszcze nie nauczyliśmy się chronić”. To ostrzeżenie, które z biegiem czasu zyskało na aktualności, nie powinno jednak paraliżować naszych działań. Choć absolutna gwarancja bezpieczeństwa jest utopią, dążenie do jej osiągnięcia to nasz obowiązek — powinniśmy nieustannie starać się podnosić poziom zabezpieczeń.
Firmy i instytucje państwowe powinny traktować jako pewnik, że już jest lub wkrótce będzie na nie przypuszczony cyfrowy atak. Pozostaje tylko pytanie o jego skuteczność. W Polsce obserwujemy zmianę podejścia do cyberbezpieczeństwa, jednak w kraju przyfrontowym konieczna jest dalsza intensyfikacja działań, trwała zmiana percepcji powagi cyfrowych zagrożeń i wzmocnienie współpracy na linii państwo-biznes-społeczeństwo.